MAC地址收集器之ARP模式

4.1

作者:
笨驴技术
主页:
http://www.imfirewall.com


在多网段环境下,由于路由器屏蔽了原始的MAC地址,导致WFilter不能直接监控到客户机的MAC地址信息。此问题可以通过安装“MAC地址收集器”来解决。“MAC地址收集器”可以把网段内的MAC地址信息发送给WFilter监控服务器,从而实现MAC地址的监控。

“MAC地址收集器”有两种工作模式:

  1. SNMP模式(推荐) : 通过网管交换机或者路由器的SNMP功能来获取MAC地址信息。需要设备支持SNMP管理。
  2. ARP模式 :通过ARP协议获取本网段的MAC地址信息,不需要设备支持。

本文将演示在多网段环境下通过“MAC收集器”的“ARP模式”实现“根据MAC地址监控”。网络结构图如下:



图 1

如上图,WFilter通过交换机的镜像口来监控不同网段,为了监控到192.168.50.x网段的MAC地址,我们需要在192.168.50.x网段内安装“Mac收集器”(如果需要监控多个网段的MAC地址,需要在每个网段内都安装“Mac收集器”)。步骤如下:

1. 安装MAC收集器

如图在192.168.50.x网段内安装“Mac收集器”,在安装过程中,填写WFilter服务器IP,网卡选择相对应的网卡即可。



图 2

2. 检查WFilter监控效果

未安装MAC收集器时,WFilter不能监控到实际的MAC地址,下图为WFilter监控到的MAC地址和实际的MAC地址



图 3(监控到的MAC地址)



图 4(实际的MAC地址)

安装MAC收集器后,WFilter就可以监控到实际的MAC地址,如图所示:



图 5

相关链接